计算机网络安全基础-防火墙基础.pptVIP

屏蔽主机体系结构（2） 屏蔽路由器可按如下规则之一进行配置： 允许内部主机为了某些服务请求与外部网上的主机建立直接连接（即允许那些经过过滤的服务）。 不允许所有来自外部主机的直接连接。 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。 缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。 …… 屏蔽主机体系结构 因特网 屏蔽子网体系结构（1） 屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 原因：堡垒主机是用户网络上最容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。 Internet 周边网络 内部网络 …… 外部路由器 堡垒主机 内部路由器 屏蔽子网体系结构 屏蔽子网体系结构（2） 周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。 周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例: netxray等的工作原理。 屏蔽子网体系结构（3） 堡垒主机 堡垒主机位于周边网络，是整个防御体系的核心。 堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。 对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。 屏蔽子网体系结构（4） 外部路由器（访问路由器） 作用：保护周边网络和内部网络不受外部网络的侵犯。 它把入站的数据包路由到堡垒主机。 防止部分IP欺骗，它可分辨出数据包是否真正来自周边网络，而内部路由器不可。 内部路由器（阻塞路由器） 作用：保护内部网络不受外部网络和周边网络的侵害，它执行大部分过滤工作。 外部路由器一般与内部路由器应用相同的规则。 其它的防火墙结构（1） Outside Demilitarized Zones (DMZs) Public Access Server Public Access Server 其它的防火墙结构（2） 一个堡垒主机和一个非军事区示意图 …… DMZ 堡垒主机 内部网 外部路由器 Internet 其它的防火墙结构（3） 两个堡垒主机和两个非军事区 外部DMZ 外部堡垒主机 内部网 外部路由器 Internet …… 内部堡垒主机 内部DMZ 防火墙的关键技术 包过滤技术 代理技术 状态检查技术 地址转换技术（NAT） 虚拟专网技术（VPN） 内容检查技术：提供对高层服务协议数据的监控能力。包括计算机病毒、恶意的Java Applet或ActiveX控件的攻击、恶意的电子邮件及不健康网页内容等的过滤防护。 NAT示意图 Internet 00 5 WWW PC PC Server 内容过滤 阻止 Java, ActiveX, JavaScriptVBscript URL 记录和拦截 SMTP 过滤 丢弃假来源地址的信件 可设定传送信件的大小 可消除内部信件传递路径信息,避免内部主机暴露给外界 提供E-mail地址转换功能 病毒? Inspect Port Command Drops the Packet HTTP Request Java Signature Server Reply Requests for Java Applet N No Java Signature—Lets it Through Inspect Web Server Web Client Java 阻塞 防火墙的评价 --防火墙不可以防范什么 防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。 防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 防火墙的评价 --防火墙不可以防范什么 内部提供拨号服务绕过防火墙 日志功能 日志记录一般包括:系统日志、流量日志、告警日志等. 根据管理的需要，它可以对每一个进出网络的数据包作简单或详细的纪录。包括数据的来源，目的，使用的协议，时间甚至数据的内容等等。 防火墙的种类 防火墙的存在形式：软件、硬件。 根据防范方式和侧重点的不同可分为四类： 包过滤 应用层代理 电路层代理 状态检查 包过滤防火墙 包过滤防火墙 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。 包头信息中包括IP源地址、IP目标端地址、内装协（TCP、UDP、ICMP、或